Un pionnier de la FinTech contrecarre les attaques d'API

Fondée en 2013, EarnIn est une société de technologie financière qui fournit des services d'accès au salaire. Mue par la conviction que les personnes devraient pouvoir accéder à leurs revenus en temps réel, et non des semaines plus tard, l'entreprise réimagine la façon dont l'argent circule. Pour cela, elle a développé une application, qui a été téléchargée plus de 15 millions de fois et a recueilli plus de 380 000 avis 5 étoiles dans Google Play et l'App Store d'Apple combinés.

Pour gagner et conserver la fidélité de ses clients, l'entreprise s'engage à concevoir et développer des services sur lesquels les utilisateurs peuvent compter. Cet engagement est inhérent à la protection contre les acteurs malveillants potentiels qui cherchent à commettre des fraudes financières. Lorsqu' EarnIn a eu besoin d'améliorer et de développer ses défenses contre les attaques ciblant les API et l'évolution constante des tentatives d'exploitation, Akamai API Security a apporté la solution. 

La façon dont l'argent et les données circulent entre les institutions financières et les autres fournisseurs de services du secteur évolue rapidement, facilitée par l'utilisation croissante des API pour le transfert de données et l'intégration de services. Dans cet environnement dynamique et interconnecté, les professionnels de la sécurité ont du mal à atténuer efficacement les menaces susceptibles de perturber l'activité, d'éroder la confiance des clients et de nuire à la réputation de la marque.

Alors que l'équipe de sécurité d'EarnIn s'appuyait depuis longtemps sur les événements de télémétrie et l'enregistrement des données dans son environnement, elle a été confrontée à une évolution rapide du domaine d'API de l'entreprise. Elle avait donc besoin de mieux se protéger contre les acteurs malveillants ciblant les API et les mouvements de données sur une surface d'attaque en pleine expansion.

Selon Stan Lee, responsable des technologies de sécurité de l'information d'EarnIn, les deux aspects fondamentaux du développement d'applications sont la compréhension et la catégorisation des données transférées, ainsi que la compréhension de l'accès des utilisateurs. « Cette perspective est essentielle pour prendre des mesures appropriées et des décisions éclairées prenant en compte les risques, d'autant plus que les API deviennent une cible de choix. C'est pourquoi nous avons cherché une solution de sécurité des API assurant la protection de nos clients et de leurs transactions », explique-t-il.

Lors de l'évaluation des solutions à sa disposition, EarnIn a donné la priorité à la capacité de détection et d'énumération des points de terminaison API qu'elle génère chaque jour. « API Security d'Akamai a clairement mis en évidence ce qui était transmis, que les données transitent sur un réseau interne ou externe. Cette vue de notre surface d'attaque était exactement ce dont nous avions besoin pour comprendre notre profil de risque et protéger nos API », poursuit M. Lee.

Un autre facteur déterminant a été le service géré de recherche des menaces d'Akamai.. « Nous n'avions jamais vu jusqu'alors une approche aussi proactive pour identifier les menaces nouvelles et émergentes, et nous étions convaincus qu'elle nous permettrait d'atténuer efficacement ces menaces tout en développant dynamiquement nos activités », a déclaré M. Lee.

Comme M. Lee l'explique, le déploiement a été un jeu d'enfant. « En une semaine seulement, nous avons facilement déployé la solution économique et basée dans le cloud API Security ». EarnIn a également bénéficié d'une valeur ajoutée immédiate. Dès le début, l'équipe de sécurité de M. Lee a disposé de données sensibles tokenisées qui ont rapidement fait l'objet d'analyses comportementales par API Security dans Akamai Connected Cloud. L'analyse a permis à l'équipe de glaner cette dynamique à travers son environnement, d'identifier les vecteurs de menaces et de mener des actions et des changements comportementaux.

Comme le souligne M. Lee, « API Security d'Akamai nous permet d'analyser ce qui se passe, de rechercher les menaces lorsqu'une attaque a lieu et de prendre des mesures concrètes pour protéger notre application de FinTech et nos clients ».

API Security d'Akamai a permis aux équipes de sécurité et de développement d'EarnIn d'identifier les points de terminaison API fantômes, et de détecter et d'étudier plus rapidement les problèmes potentiels. « Grâce à des fonctionnalités telles que l'analyse comportementale, API Security nous permet d'identifier les techniques courantes, telles que les prises de contrôle de compte, et de nous en protéger efficacement », poursuit-il.

Comme pour de nombreuses entreprises, la sécurité des API va être essentielle pour EarnIn. Au vu des innombrables produits développés à l'aide d'API et des nombreuses technologies connectées via des API, il est essentiel que l'entreprise comprenne les changements au niveau des API qui pourraient signaler une attaque ou une fraude. « La solution d'Akamai améliore la manière dont nous présentons des éléments exploitables à nos développeurs, ce qui nous permet de leur fournir des données plus concrètes. Au final, nous avons maintenant l'assurance que nos applications sont conçues, mises en œuvre et utilisées de manière sécurisée », conclut-il.

EarnIn vous permet d'accéder à votre argent au fur et à mesure que vous le gagnez¹ , et non plusieurs jours ou plusieurs semaines plus tard. Nous avons pour mission de réinventer la façon dont l'argent transite, pour renforcer le potentiel de chacun.

Cela commence avec la possibilité de pouvoir toucher chaque jour votre salaire et se poursuit avec des outils tels que les comptes Tip Yourself automatisés², Credit Monitoring et Balance Shield³, une fonctionnalité d'alerte en cas de faible solde bancaire ; le tout sans intérêts⁴, sans vérification de crédit et sans frais obligatoires⁵. Nos clients ont ainsi toutes les cartes en main pour dépenser leur argent et économiser à leur convenance.

^{_{1 Sous réserve de vos gains disponibles, maximum quotidien et période de paie maximum. Des restrictions et/ou des frais de tiers peuvent s'appliquer, consultez EarnIn.com/TOS pour plus de détails.
2 Les fonds des comptes Tip Yourself sont détenus par Evolve Bank & Trust, membre de la FDIC, et assurés par la FDIC à hauteur de 250 000 $. Tip Yourself offre un rendement annuel en pourcentage de 0 % et des frais mensuels de 0 $. Votre compte Tip Yourself et tout autre compte à pourboires ne sont pas des comptes d'épargne. Pour plus d'informations, rendez-vous sur https://www.earnin.com/evolve-bank-and-trust}
3 Les retraits d'argent sur le compte Balance Shield sont soumis à vos gains disponibles, à votre maximum quotidien et à votre période de paie maximum. D'autres restrictions et/ou frais de tiers peuvent s'appliquer. Pour plus d'informations, rendez-vous sur _{earnin.com/TOS.
4  EarnIn ne prélève aucun intérêt sur les retraits d'argent.
5  EarnIn ne prélève aucuns frais cachés dans le cadre de l'utilisation de ses services.}}

L'application pionnière d'EarnIn, Earned Wage Access, est soutenue par des partenaires de classe mondiale comme A16Z, Matrix Partners et DST. Depuis notre création en 2013, plus de 4,4 millions de clients ont utilisé EarnIn, nous avons reçu plus de 380 000 avis 5 étoiles et nous avons aidé nos clients à accéder à plus de 20 milliards de dollars de revenus.